%20IP%20%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E5%88%A5%E3%81%AE%20EC2%20%E3%82%A4%E3%83%B3%E3%82%B9%E3%82%BF%E3%83%B3%E3%82%B9%E3%81%AE%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB%2Fiptables%20%E3%81%A7%E6%8C%87%E5%AE%9A%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
同じリージョンに2つのEC2インスタンスがあります。これらをinstance-1と呼びましょうinstance-2。instance-1エラスティックIPアドレスが添付されているが、instance-2添付されていない。
でinstance-1からの着信トラフィックを許可したいと考えています。 に Elastic IP を割り当て、以下のようなものをチェーンに追加することができます。instance-2iptablesinstance-2INPUT
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:yyyy
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:zzzz
およびのxx.xx.xx.xxElastic IP は宛先ポートです。instance-2yyyyzzzz
しかし、Amazon ではアカウントに割り当てられる Elastic IP アドレスの数 (5 つ) を制限しているため、このインスタンスに Elastic IP アドレスを割り当てたくありません。
instance-2私の質問は、Amazon からに提供されている 10.xx.xx.xx 形式の内部 IP アドレスを使用できるかどうかiptablesですinstance-1。
解決策としては、インスタンス レベルの iptables の使用をやめて、EC2 が提供するセキュリティ グループを使用することが考えられます。しかし、私はこれについて少し不安を感じています。インスタンス レベルだけでなく、セキュリティ グループ (EC2 アプリケーション) レベルでも、システムを未知の受信トラフィックから保護する方がよいと感じています。
答え1
解決策は、Amazon Web Services 仮想プライベート クラウドを使用することです。詳しくはこちら
独自のクラウド内で独自のプライベート IP アドレスを割り当て、クラウド内外のすべての接続を制御して、Elastic IP アドレスの数の制限を回避できるようになります。
完全に理解するには少し読む必要がありますが、長期的には報われるでしょう。
VPC を使用しなくても iptables で内部 IP アドレスを使用できるはずですが、インスタンスを停止して再起動すると (または Amazon が代わりに実行した場合)、内部 IP アドレスが再割り当てされるため、インスタンスが停止するたびに iptables を再構築する必要があります。VPC では、内部 IP アドレスを割り当てることができます。